「東京国際セキュリティ・カンファレンス 2006」開催直前企画里吉昌博実行委員長独占インタビュー(1)

− 日本はセキュリティ情報が圧倒的に不足している −

特集特集

2006年11月8日（水） 16時30分

− 日本はセキュリティ情報が圧倒的に不足している −

「東京国際セキュリティ・カンファレンス 2006（Tokyo International Security Conference 2006：Tokyo InterSec2006）」が、今年は11月29日および30日に開催される。世界のサイバーセキュリティ専門家が一堂に会するこのイベントは今回で二回目となり、入場料が無料となった。これに先立ち、実行委員長の里吉昌博氏に独占インタビューを行った。

●セキュリティ情報の少ない日本で最新、最高のカンファレンスを

─今回で二回目となる東京国際セキュリティ・カンファレンス（以下、InterSec）ですが、開催の経緯を教えてください。

InterSec は、情報セキュリティ関連企業等の有志で構成された実行委員会が主催するものですが、私が代表を務めている株式会社エス・アイ・ディ・シー（以下、SIDC）が全面的にバックアップしています。SIDCは、5年前、日本にセキュリティの専門家が非常に少なかったことから、海外から専門家を招いて始めた会社で、現在も米国、カナダ、ロシアなどIT（セキュリティ）先進国のエンジニアが多く在籍しています。このリソースと彼らの人的ネットワークを生かして、企業などのセキュリティ担当者や専門家を目指す人たちに海外の最新の情報を紹介し、また、それぞれのネットワークを広げてもらおうと考えたのがInterSec開催のきっかけです。これに個人や企業の賛同をいただいて、実現に至ったわけです。

海外には、素晴らしいセキュリティの専門家がたくさんいます。また、彼らにとって日本は魅力的な国なのですが、信用のおける人間がいないと日本にやってこようとはしません。そこで、SIDCの国内外のスタッフがそれぞれのパイプを生かして、ひとり、またひとりと協力者を広げていきました。現在では、海外にいる約55名のセキュリティエキスパートをいつでも呼べる状況になっています。

昨年のカンファレンスでは、このネットワークでないと呼べないような方々に最新技術やセキュリティ動向の講演を行っていただいたため非常に盛況で、ご好評いただきました。そこで今回は参加料を無料とすることで、さらに多くの方に最新、最高のカンファレンスをご提供したいと考えています。

─日本はまだまだセキュリティに関する情報が不足しているという実感がありますか？

まだまだ不足していると実感しています。特に脆弱性情報に関しては、海外に比べ圧倒的に少ないですね。日本のセキュリティメーカーが提供している製品も、エンジンなどは海外ベンダのものを搭載しています。当然、ラボも海外にあるわけですから、どうしても日本とは時差が発生してしまいます。研究機関やアンダーグラウンドの情報にしても、ほとんどの情報源が海外のものです。もちろん、日本にもセキュリティの研究者はおりますが、圧倒的に少ないと言わざるを得ない状況です。

具体的には、ハッキングのテクニックに関する情報やセキュリティホール、脆弱性に関する情報が不足していると感じます。日本では、このような情報はメーカーやその営業から伝えられるケースがほとんどとなっています。脆弱性情報は、まず匿名の情報が発表され、これがメーカーに通知されて検証が行われた後に発表されます。海外のメーカーの場合は、この情報がさらに日本語化されるまでに時間がかかってしまいます。海外からの情報に頼っている間は、どうしても対策が後手後手に回ることになってしまうのですね。

日本はセキュリティの専門家が少ないことに加え、英語が苦手な技術者やIT担当者が多いことも情報が少ない要因のひとつだと感じています。セキュリティの資格においても、問題も回答も英語というケースが多くありました。現在では日本語に対応してきていますが、英語が大きな障壁になっているのは確かなようです。徐々に日本でも独自のセキュリティ機器やソフトウェアがでてきておりますから、今後は逆に日本製品の脆弱性を海外に向けて発信することも多くなると思います。言葉の壁は何とかクリアしたいところですね。

─日本の企業などのセキュリティに対する認識は変わってきていますか？

日本企業の中には、知名度の高い会社でないと取引しないという傾向が未だにあります。しかし、大手だから製品やサービスが信頼できるとは限りません。セキュリティにおいては特に、企業の重要な情報資産を守る役割を担うわけですから、この見極めは重要なポイントになります。やっとここ最近では、いい製品やサービスであれば、知名度に関係なく採用するケースが増えてきました。これはいい傾向だと思います。

セキュリティの認識が低い企業が未だに多いことも確かです。いままではメーカーやベンダが強すぎたこともあり、企業は提供されるものを信じて導入するしかなく、悪く言えば踊らされていたわけです。セキュリティへの認識は確実に上がってきていますが、まだ「水と安全はタダで手に入る」という意識が強く、セキュリティ対策への予算化を真剣に検討しない企業がほとんどです。ウイルス対策ソフトの導入さえ渋る企業もありますからね。

それでも、日本版SOX法の導入を見据えて上場を目指すような企業は、セキュリティへの認識がかなり高くなっています。まだまだ少ないですが、このような企業が市場を牽引していくのかも知れません。まずは脅威を正しく理解し、自社が被害を受けるだけでなく、踏み台にされることで加害者にもなりうるという認識を持つことが第一でしょうね。

Tokyo InterSec2006 プログラム詳細
http://www.tokyointersec.com/contents/japanese/program_1.html
http://www.tokyointersec.com/contents/japanese/program_2.html

《ScanNetSecurity》